Verwalten des Zugriffs auf Microsoft Entra ID-gesicherte APIs

Wenn Entwickler SharePoint-Framework Lösungen erstellen, müssen sie möglicherweise eine Verbindung mit einer API herstellen, die über Microsoft Entra-ID geschützt ist. Entwickler können angeben, welche Microsoft Entra Anwendungen und Berechtigungen ihre Lösung erfordert, und ein Administrator kann die Berechtigungsanforderung über den API-Zugriff im SharePoint Admin Center verwalten.

Erfahren Sie mehr über das Erstellen SharePoint-Framework Lösungen, die eine Verbindung mit durch Azure AD gesicherten APIs herstellen.

Auf der Seite API-Zugriff werden ausstehende und genehmigte Anforderungen angezeigt. Außerdem wird angezeigt, welche Anforderungen für jede SharePoint-Framework Komponente oder ein benutzerdefiniertes Skript in Ihrem organization gelten (organization weit) und welche Anforderungen nur für die bestimmte Komponente gelten (isoliert).

Hinweis

Die Administratorrolle, die zum Genehmigen von Berechtigungen erforderlich ist, hängt von der API ab. Um Berechtigungen für die im Mandanten registrierten Drittanbieter-APIs zu genehmigen, ist die Rolle anwendungsadministrator ausreichend. Um Berechtigungen für Microsoft Graph oder eine andere Microsoft-API zu genehmigen, ist die Rolle "Globaler Administrator" erforderlich. Die API-Zugriffsseite ist für Personen, die mit der Rolle "Globaler Leser" angemeldet sind, nicht verfügbar.

Genehmigen einer ausstehenden Anforderung

1. Wählen Sie die Anforderung und dann Genehmigen aus, um Details zur Anforderung anzuzeigen.

2. Wählen Sie im Bereich Zugriff genehmigen die Option Genehmigen aus.

   

   Nachdem Sie eine Anforderung genehmigt haben, wird sie in die Liste Genehmigte Anforderungen verschoben.

   Hinweis

   Berechtigungen des delegierten Typs werden dem SharePoint Online-Clienterweiterungswebanwendungsprinzipal in Microsoft Entra-ID hinzugefügt.

   Wenn Sie versuchen, eine Berechtigungsanforderung für eine Ressource zu genehmigen, für die bereits Berechtigungen erteilt wurden (z. B. um zusätzliche Berechtigungen für Microsoft Graph zu gewähren), werden die angeforderten Bereiche den zuvor erteilten Berechtigungen hinzugefügt.

Ablehnen einer ausstehenden Anforderung

1. Wählen Sie die Anforderung und dann Ablehnen aus.
2. Wählen Sie erneut Ablehnen aus, um dies zu bestätigen.

Wenn Sie den Zugriff ablehnen, wird die App nicht von der App-Website entfernt. Wenn die App auf websites verwendet wird, funktioniert sie möglicherweise nicht wie erwartet. Nachdem Sie die Anforderung abgelehnt haben, wird sie von der Seite entfernt, und der Entwickler muss eine neue Anforderung mit der gleichen Ressource und demselben Bereich ausgeben.

Entfernen des Zugriffs auf eine zuvor genehmigte Anforderung

1. Wählen Sie die Anforderung und dann Zugriff entfernen aus.
2. Wählen Sie zur Bestätigung erneut Entfernen aus.

Wenn Sie den Zugriff entfernen, funktionieren Lösungen und benutzerdefinierte Skripts, die auf der Berechtigung basieren, möglicherweise nicht wie erwartet. Nachdem Sie den Zugriff entfernt haben, wird die Anforderung von der Seite entfernt, und der Entwickler muss eine neue Anforderung mit der gleichen Ressource und demselben Bereich ausgeben.

Verwalten des Zugriffs mithilfe von Microsoft PowerShell

Sie können auch PowerShell verwenden, um Berechtigungsanforderungen zu verwalten.

• Verwenden Sie zum Anzeigen ausstehender Anforderungen das Cmdlet Get-SPOTenantServicePrincipalPermissionRequests.
• Verwenden Sie zum Genehmigen einer Anforderung das Cmdlet Approve-SPOTenantServicePrincipalPermissionRequest.
• Verwenden Sie zum Ablehnen einer Anforderung das Cmdlet Deny-SPOTenantServicePrincipalPermissionRequest.
• Verwenden Sie das Cmdlet Revoke-SPOTenantServicePrincipalPermission, um den Zugriff auf eine zuvor genehmigte Anforderung zu entfernen.